La adaptación al RGPD (Reglamento General de Protección de Datos) sigue trayendo de cabeza a muchos profesionales de Internet, y por ello, hemos pedido a Raul Florido, abogado y experto en derecho de las nuevas tecnologías, que nos ayude a explicároslo a todos nuestros lectores y alumnos. Para ello, el pasado jueves 22 de junio celebramos un Webinar con los alumnos de ADC donde tratamos de solucionar todas las dudas que ha suscitado este nuevo reglamento.
A continuación, te contamos a fondo, y de forma práctica, qué es y cómo debemos cumplir con esta nueva normativa de protección de datos.
¿Qué es el RGPD y que lo diferencia de la antigua LOPD?
El RGPD es la normativa europea para proteger los datos de carácter personal que se aprobó en 2016 y entró en aplicación el 25 de mayo de 2018. Anteriormente, en España nos regíamos por la LOPD desde 1999. A continuación, podéis ver algunas de las principales diferencias entre ambas normativas enfocadas a la protección de datos de carácter personal.
Antigua LOPD
- Categorías de datos en función de los niveles de riesgo.
- Inscripción de ficheros en la AEPD.
- Consentimiento expreso o tácito.
- Información en una capa.
- Derechos ARCO (acceso, rectificación, cancelación y oposición).
- Principios: calidad de los datos, información y consentimiento.
- Medidas de seguridad: en función de niveles (básico, medio y alto).
Nuevo RGPD
- Categorías de datos en “tres niveles”: básico (cualquier información relativa a una persona como por ejemplo el nombre, la IP…), especiales (origen étnico, racial, datos genéricos o biométricos, religión, salud, orientación sexual…) y penales (condenas).
- No hay que inscribir nada en la AEPD, sino tener un Registro de Actividades de Tratamiento a nivel interno. Para hacerlo, os podéis ayudar con la herramienta FACILITA.
- Consentimiento expreso (Ej. en la web poner una casilla sin premarcado donde tenga que hacer clic el usuario para aceptar la nueva política. Para reforzar este consentimiento, añadir doble opt-in).
- Información en dos capas (Información básica para el formulario -primera capa- + política de privacidad desarrollada -segunda capa-).
- Derecho sobre los datos (acceso, rectificación, supresión y portabilidad). Derechos sobre el tratamiento (limitación, oposición, cancelación o elaboración de perfiles) y derecho a presentar reclamaciones ante la Autoridad de Control.
- Principios: Licitud, lealtad y transparencia, confidencialidad, fines, conservación, minimización, exactitud, integridad y respuesta proactiva.
- Medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El primer paso es identificar amenazas para conocer el riesgo.
- Medidas de seguridad para conservación de datos, restricción de acceso, eliminación, copias de seguridad, protección, riesgos, internacional, auditoria y certificado SSL.
- En caso de violación de seguridad, tendremos que notificarlo en un plazo máximo de 72h a la autoridad de control. La comunicación al interesado se exige si existe probabilidad de alto riesgo.
¿Cómo cumplir con el RGPD en una web?
Existen principalmente cuatro elementos que debes considerar para cumplir con la nueva normativa de protección de datos de carácter personal:
- Textos legales: Siempre es recomendable contar con tres textos por separado, el aviso legal, la política de privacidad y el aviso de cookies. Además, y aunque no tiene que ver con este reglamento, si vender productos o servicios también sería necesario indicar unas condiciones de contratación. No es válido copiar y pegar estos textos, es necesario hacerlos de forma concienzuda y adaptada a cada negocio. También hay que tener en cuenta que a final de este año saldrá una nueva normativa a nivel europeo que actualizará especialmente el tema de las cookies, el Reglamento E-Privacy.
- Checks de consentimiento: Será necesario que el usuario de su consentimiento expreso, y para ello, pondremos este tipo de casillas que hagan referencia a la aceptación de las políticas, ¡y nunca premarcadas!
- Coletillas en emails: Las coletillas legales, por ejemplo en emails, serán necesarias pues tendremos que informar siempre de para qué se van a tratar esos datos, quien es el responsable y cómo pueden cancelar la suscripción.
- Cookies: No es suficiente con instalar el típico plugin para cookies, es necesario que nos cercionemos de bloquear las cookies hasta que el usuario dé su consentimiento.
¡IMPORTANTE! La normativa afecta a todo el mundo. Empresas que no se encuentren en Europa pero que traten datos de personas europeas están obligadas a cumplir con la RGPD, y para ello, tienen que designar a un representante en España que hará de nexo de unión.
¿En qué consisten las sanciones por incumplimiento del RGPD?
Ahora, las sanciones pueden llegar a 10.000.000 de euros o el 2% de la facturación, o hasta 20.000.000 de euros o el 4% de la facturación. Además, se puede reclamar indemnización por daños y prejuicios por parte de los interesados o usuarios.
¿Cómo cumplir con la transferencia internacional de datos?
Antiguamente existía un convenio entre Europa y EEUU que se llamaba Safe Harbor y ahora tenemos el Privacy Shield que garantiza la transferencia internacional de datos con ciertas medidas de seguridad. Para saber qué empresas están adheridas y utilizan este sistema podéis consulta la web privacyshield.gov.
Esto es muy importante a la hora de revisar si las herramientas que utilizamos están realizando adecuadamente la transferencia internacional de datos, y por tanto, nos permiten cumplir con la nueva normativa. Si, por ejemplo, buscamos Active Campaign o MailChimp nos encontraremos que sí figuran, pero probablemente otras herramientas que estemos utilizando y transfieran nuestros datos de clientes no lo hagan.
¿Qué hago con mis suscriptores ahora que ha entrado en vigor el RGPD?
Esta ha sido la gran pregunta desde que se aprobó la nueva normativa, y ha llevado a un gran debate al respecto. La principal duda es si solo es necesario informar, o también hay que pedir consentimiento de nuevo a todos los suscriptores. Lo cierto es que la normativa no está del todo clara y hay opiniones de todo tipo.
Raúl indica que no es necesario pedir el consentimiento para todo, y lo que ha recomendado a sus clientes es que si no podían acreditar el consentimiento, volvieran a pedir el consentimiento a sus suscriptores. De lo contrario, si ya tenían asegurada la confirmación de suscripción no era necesario pedir de nuevo el consentimiento, podían limitarse a informar del nuevo cambio en su política y mantener su base de suscritores intacta.
¿Cómo adaptar los bots a la nueva normativa del RGPD?
Este sistema tan novedoso de suscripción y comunicación con usuarios no viene contemplado tal cual en la ley, pero es necesario interpretarla en este medio para evitar caer en incumplimientos. Raúl nos aconseja que tengamos en cuenta principalmente las siguientes cuestiones:
- Revisar la lista de suscriptores al bot y pedir el consentimiento a los suscritores que ya teníamos hasta la fecha.
- Solicitar el consentimiento expreso a partir de ahora a los nuevos suscriptores.
- Registrar la actividad de los usuarios, ya que Muchos bots actualmente lo hacen, como por ejemplo ManyChat, con el que se pueden borrar automáticamente los usuarios que lo soliciten y se registra absolutamente toda la información del usuario.
- Si no queréis continuar utilizando bots tendréis que borrar vuestra lista de suscriptores.
- Si continuais utilizando bots, aseguraros de que las herramientas que utilizáis respetan la privacidad de los usuarios siguiendo la nueva normativa.
Otras preguntas frecuentes sobre el RGPD
- ¿Hay que bloquear el pixel de Facebook? En principio sí, hasta que el usuario no acepte, hay que bloquear todas las cookies. No obstante, actualmente no sabemos de ningún plugin que los bloquee todos automáticamente salvo que se haga mediante un script y programación.
- ¿No puedo permitir al usuario entrar al contenido de mi web hasta que no acepta? No, el contenido puede visualizarse pero no se le pueden instalar cookies hasta la aceptación de las mismas.
- ¿Cómo solucionar el problema de las cookies? A la espera del nuevo reglamento que saldrá a final de año, por ahora lo único que necesitamos es bloquar las cookies y mostrar un mensaje a modo de pop-up o similar en el que el usuario pueda dar su consentimiento expreso para aceptar las cookies, y a partir de ese momento, puedan instalarse.
- ¿Cuánto tiempo puedo guardar datos de un usuario? Según la normativa no deben guardarse más del tiempo necesario. Evidentemente para usuarios que se suscriben a tu email no hay borrado hasta que ellos no lo soliciten, aunque siempre es recomendable hacer una limpieza de usuarios cuando estos llevan tiempo sin abrir nuestros comunicados. Sin embargo, en el caso de clientes, los datos deberían conservarse únicamente durante el plazo en que dure la relación comercial.
- ¿Por qué tenemos que poner nuestros datos personales en el Aviso Legal? En la normativa se exige por cuestión de transparencia para evitar todo tipo de estafas.
- ¿Tengo que cumplir el reglamento si no soy empresa? Si tratas datos de carácter personal es necesario que cumplas con la normativa, tengas o no un negocio, ganes o no dinero con tu web o blog.
- ¿Cómo conseguir un representante legal en España? Es necesario designar a una persona en España para que haga de representante tuyo en Europa ante cualquier problema y sirva de nexo con las autoridades pertinentes.
- ¿Si una persona se pone en contacto con nosotros para decirnos que quiere que eliminemos sus datos, qué debemos hacer? Se necesita tener un protocolo de actuación al respecto. Lo ideal es guardar el registro del borrado de datos, y para ello habría que crear un pequeño contrato donde esa persona acepta que se eliminan sus datos. Es importante poder acreditar esa relación y borrado de datos.
Esperamos que con este post y la ayuda de Raul Florido hayamos logrado resolver todas vuestras dudas sobre el RGPD, y si aún no lo habéis hecho, adaptéis vuestro negocio y web a la nueva normativa de protección de datos.
Suscríbete y recibe en tu mail:
500 ideas para crear posts que llevarán tu blog a otro nivel. Suscríbete y recíbela en tu correo.
500 ideas para crear posts que llevarán tu blog a otro nivel. Suscríbete y recíbela en tu correo.
Compartir en: